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■ 2001 gegriindeter Netzwerk-Dienstleister mit Sicherheits- 
Fokus, Sitz in Heidelberg (+ kleines Buro in Lissabon) 

■ Aktuell funfzehn Mitarbeiter 

■ Schwerpunkte: Security Management, Audit/Revision, 
Penetrations-Tests, Security Research 

■ Kunden (Europa/USA): 

Industrie, Banken, Behorden, Provider 

■ RegelmaBige Sprecher auf internationalen Sicherheits- 
Konferenzen (Black Hat, IT Underground, HITB etc.) 





Agenda 


■ Betrachtung einer “neuen“ Technologie 

■ Virtualisierung 

■ Angriffs-Szenarien 

- Historische Vorfalle 

■ BCP 

■ Untersuchung ESX 

■ Lessons Learned 

■ Ausblick 

■ Diskussion 
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Betrachtung einer “neuen“ Technologie 
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Assets 

Objectives 

Threats 

Vulnerabilities 

Risk 

Mitigating Controls 


(Das zu schiitzende Gut) 
(Ziele) 

(Bedrohung) 

(Schwachstellen) 

(Risiko) 

(GegenmaBnahmen) 





Definition 
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“Virtualization is the creation of substitutes for real resources, 
that is substitutes that have the same functions and external 
interfaces as their counterparts, but that differ in attributes, 
such as size, performance, and cost. These substitutes are 
called virtual resources, and their users are typically unaware 
of the substitution." [1] 





genauer ... 


ERNW 



Wir leben IT-Security 


■ Erzeugung von Ersatzressourcen fiir reale Ressourcen 

■ Gleiche Funktionen und externe Interfaces wie reales Gegenstuck 

■ Verschiedene Grol3e, Performance, Kosten 

■ Werden als virtuelle Ressourcen bezeichnet 

■ Transparenz fur den Benutzer 

■ Ublicherweise auf physikalische Hardware Ressourcen 
angewendet 

■ Mehrere physikalische Ressourcen werden zu einem shared pool 
zusammengefasst 

■ Benutzer beziehen virtuelle Ressourcen aus shared pool 





Ubersicht 
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Microsoft 

■ Virtual PC 

■ Virtual Server 

■ VMware 

■ Workstation 

■ Server 

■ Fusion 

■ Player 

■ ESX Server 


InnoTek 

■ VirtualBox 

■ Open Source: 

■ Xen 

■ KVM 

■ VirtualBox 


Sun 

■ xVM 





Hypervisor 
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Zentrale Instanz bei Virtualisierungs-Plattformen 

■ Auch Virtual Machine Monitor (VMM) genannt 

■ Liegt als dunne Schicht zwischen physikalischer Hardware und den 
VMs 

■ Schlanker Code 

■ Stellt den VMs virtuelle Ressourcen bereit 

■ Dynamische Ressourcen Verteilung iiber “Shared Pool“ 





Boot-Prozedur (anhand ESX) 
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GRUB 



Initial RAM Disk 

(beinhaltet Initskript fur das 
Laden des VM-Kernel) 



VM-Kernel 

(Hypervisor) 

=proprietar 



COS 

(Console Operating System 
= Priviligierte VM 
Basiet auf RH-Ent.) 









Type 1 Hypervisor 
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Type 2 Hypervisor 
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Klassischer Ansatz 
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Erste Virtualisierung (VLANs) 
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Virtuelles RZ 
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Virtual Appliances 
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Check Point Software: Check Point VMware Images - Windows Internet Explorer 


r •/ i T 6] http : //ww w . opsec . com/ 1 vmware_do unloads . html 


Datei Bearbeiten Ansicht Favoriten Extras 


L 

| $ Check Point Software : 

| .^Checkpoint Software: C... X 

U 


pu resecurity 


Check Point 

SOFTWARE TEC^JGLDGIES LTD. 


Home 


Products Si Technologies 


Howto Buy 


Support 


Company 


My Account 


Search 

* Featured Solutions 

► Platforms 

* Applications 

► Downloads 

► OPSEC Support 

► Partner Resources 

► Press Room 

* Join OPSEC 


Check Point VMware Images 

SecurePlatform serves as the foundation for many Check Point products 
including: VPN-1 UTM, VSX, Connectra and more. 

Check Point currently has 2 VMware Virtual appliance images available: 

► VPN-1 UTM on Secure Platform R60 

► Connectra on Secure Platform R61 

Important Note: 

This software is provided for evaluation only. Check Point 
software is not available for purchase on the VMware platform. 

Please help us define how security software will be used in your VM 
environment by indicating in the comments section if you would like to 
be contacted by our product managers via phone or email. 


Momentan nicht mehr erhaltlich 






RZ der Zukunft ?/! 
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Virtuelles RZ (ESX) 






Kriterien einer “Sicheren Virtualisierung“ 
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■ Der Hypervisor sollte in der Firmware speicherbar sein 

■ Einbindung eines TPM (Trusted Platform Module) 

■ Manipulationssicherer Hypervisor 

■ Hypervisor muss samtliche Funktionalitaten der CPU/der 
Prozessoren unterstutzen 


■ Feste Zuweisung von HW-Ressourcen (CPU/RAM/NW) 

■ Keine dynamische Teilung von System ressourcen 
zwischen den Virtuellen Systemen 

■ Unveranderbarkeit dieser Ressourcen 

■ Aufsplittung von l/O-Geraten 





Virtual Shield 
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■ Bietet Sicherheitsfunktionalitaten wie 

■ Paketfilterung 

■ Gberwachung von offenen Ports 

■ Rudimentare IDS/IPS 

■ vSafe-lnitiative von VMware greift diese Funktionalitat auf 

■ Blue Lane “Virtual Shield” []wird gerade von uns im Labor 
evaluiert © 



■ Zusatzliche Schicht die sich zwischen dem Gast-OS und 
dem Hypervisor befindet 





sHype 
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■ secure Hypervisor 

■ Forschungsprojekt von IBM Research 

■ 2600 Zeilen Code 

■ Fiigt Mandatory Access Control (MAC) Funktionalitaten 
(bei XEN) hinzu 

■ Entwickelt um mittlere Sicherheit zu erreichen (CC EAL4) 

■ Mehr Info unter [Sailer2005] Oder [1] 





Bedrohungen .... 
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■ Angriffe gegen die Mgmt.-lnfrastruktur 

■ Angriffe gegen das Host-OS 

■ Angriffe gegen das Gast-OS 

■ Konfigurations-Fehler (neu und unbekannt) 

■ VerstoB gegen rechtliche Vorgaben Oder interne 
Richtlinien [Compliance ;-)] 





Gast vs. Gast 
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Gast vs. Host/Hypervisor 
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Gast vs. Mgmt. 
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Historische Vorfalle 
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VMware ESX Server 

■ 73 Schwachstellen seit 01 .1 2.2003 [2] 

■ VMware Workstation 

■ 38 Schwachstellen seit 26.06.2003 [2] 

■ VMware Player 

■ 1 7 Schwachstellen seit 1 0.01 .2006 [2] 

■ Xen 

■ 6 Schwachstellen seit 02.1 1 .2007 [2] 

■ Virtual PC 

■ 2 Schwachstellen seit 06.09.2007 [2] 





Nutzung von Open Source... 
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Vulnerabilities (Page 1 of 3) 12 3 Next > 

Vendor: | VMWare 

Title: [ESX Server ▼ 

Version: | Select Version ▼ 


Search by CVE 
CVE: 

Submit 


Apache HTTP Server Arbitrary HTTP Request Headers Security Weakness 

2008-04-07 

http://www.securityfocus.com/bid/19561 

Iibxml2 "xmlCurrentCharQ 1 UTF-8 Parsing Remote Denial of Service Vulnerability 

2008-03-31 

http :// www. secuntyfocus.com/bid/27248 

Linux Kernel AACRAID Driver Local Security Bypass Vulnerability 

2008-03-28 

http : // w w w . s e cu rit yf o cus.com/bid/25216 

OpenSSL Public Key Processing Denial of Service Vulnerability 

[2] 

httD : //www .securitvfocus .com/bid/20247 






VMware Security im Jahr 2007 


ERNW 



Wir leben IT-Security 


■ April: Presentation “An Empirical Study into the Security 
Exposure to Hosts of Hostile Virtualized Environments 11 
von Tavis Ormandy - CanSecWest 2007 

■ July: Demonstration einiger „Tools“ auf der SANSFIRE 2007 

■ August: VMware ubernimmt den HIPS Hersteller Determina [8] 

■ September: (Jede Menge :-) VMware Security Advisory 
VMSA-2007-0006 

■ September: VMware kundigt das API Sharing Programm 
Vsafe an 





Ubernahme des Hostsystems 
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VMware vulnerability in NAT networking Dec 21 2005 07:47AM 
vmware-security-alert vmware com 

BEGIN PGP SIGNED MESSAGE 

Hash: SHA1 


VULNERABILITY SUMMARY 
A vuln erabilil 

-natd on Linux: systems. 

The vulnerability makes it possible for a malicious guest using a NAT networking 
figuration to execute unwanted code on the host machine. 


AFFECTED SYSTEMS: 

VMware Workstation, VMware GSX Server, VMware ACE, and VMware Player. 


RESOLUTION: 

VMware believes that the vulnerability is very serious, and recommends that 
affected users update their products to the new releases or change the configuration of 
the virtual machine so it does not use NAT networking. 


Warum sollte 
dies nicht auch 
zukunftig in 
ESX moglich 
sein?/!... 


The new releases are now available for download at www.vmware.com/download 


If you choose not to update your product but want to ensure that the NAT service 
is not available, you can disable it completely on VMware Workstation or VMware 
GSX Server bv following the instructions in the Knowledge Base article (Answer ID 
2002) at 

http://www.vm ware, co m/support/kb. 


VMware thanks Tim Shelton of ACS Security Assessment Engineering, Affiliated 
Computer Services, Inc., for reporting this vulnerability. 





Und da ist er ... 


■ Aus dem Advisory [6]: 
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"This release fixes a security vulnerability that 
could allow a guest operating system user with 
administrative privileges to cause memory 
corruption in a host process, and thus potentially 
execute arbitrary code on the host. (CVE-2007- 
4496) " 


Hmm... Denken Sie nicht auch, dass dies eine 
“ernsthafte Schwachstelle“ ist? 





Veroffentlichung auf SANSFIRE 2007- 
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■ Ed Skoudis: 

"The tools we presented have names based on their 
functionality: VMchat, VMcat, VM Drag-N-Hack (which 
undermines drag-and-drop , altering a file going from 
guest to host) , VM Drag-N-Sploit (which alters a dragged 
file into something that shovels a shell into the 
guest) , and, finally VMftp. That last one (VMftp) 
exploited the directory traversal flaw to provide FTP- 
style file access to the host from the guest, 
representing a true escape . I do not think that VMftp is 
an overhyped name . " [ 4 ] 

■ Die Presentation, weitere Informationen und Tools werden 
nicht zur Verfiigung gestellt... 





Tools und Tricks 
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English | Japanese Author: Ken Kato * : 

Mail: chitchat<DOT>vdk<AT>gmaiKDOT>com 

ifiyi RaoU 

ifitTu^rraailon flicks and fuels 

VM Back I 

VM Back 

Wliat’s New 

Feb. 6, 2008 

Updated VMware Command Line Tools 

* Patch and pre -built binaries for SCO OpenServer 5.0.x by John Moms 

* Added a comment about the Open Virtual Machine Tools 

Updated VMware Backdoor PO Port 

* Added a comment about the Open Virtual Machine Tools 
Updated Virtual Floppy Drive 

* Version 2. 1.2008.206 with the latest zlib library and a few minor UI changes 
Updated Links Section: 

* Added Open Virtual Machine Tools link. 

* Added Virtual Machine Disk Format link. 
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Der kleine „ERNW“ Katechismus 
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■ Keep it simple 

■ Patch-Level 

■ Minimal Machine 

■ Segregation of Duties 

■ Least Privilege 

■ Defense in Depth 

■ Starke Authentifizierung 






Hardening Guides 


■ The Center for Internet Security 

■ VMware ESX Server 3.x Benchmark (70 Seiten) 

■ Virtual Machine Security Guidelines (30 Seiten) 

■ Defence Systems Information Agency 

■ VIRTUAL MACHINE (VM) Checklist (99 Seiten) 

■ VMware 

■ Infrastructure 3 - Security Hardening (19 Seiten) 
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Untersuchung des ESX 



08 . 04.2008 




Vorgehensweise 
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Bei der Untersuchung wurden folgende Szenarien gepruft 


■ Gast vs. Gast 

■ Gast vs. Host 

■ Any vs. Management 






Gast vs. Gast 
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Hardware 



konventionelle Angriffe 
z.B. Exploits 
DOS Angriffe 









Ergebnisse (1) 
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■ Promiscuous Mode 

■ Disabled per default 

■ Bei Konfigurationsfehler Sicherheitsrisiko 

■ Wenn enabled -> mitlesen samtlichen Netzwerkverkehrs auf dem 
vSwitch moglich 

■ (De-)aktivierung nicht pro VM moglich 
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Ergebnisse (2) 
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■ Virtual Switch 

■ Funktionsweise gleicht einem Hub 

■ Keine Mechanismen gegen ARP-, MAC-Spoofing Oder MUM 

■ ErwartungsgemaB auch keine Mechanismen gegen Exploiting 

Virtual Switch: vSwitchO 

Virtual Machine Port Group 
VM Network 

0 3 virtual machines | VLAN ID * 

iofuzz 

Guest-Attack-XP 
Guest-Target-XP 

Service Console Port 
’ Service Console 

vswifO s 192 1 168 .200 1 123 



a 


i— | Physical Adapter!: 

g.Li' olj vmnitl IDO Full 


a 
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Gast vs. Host 
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Tools: 

Crashme 

lofuzz 












lofuzz... 
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... Auswirkung 
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Error 

One or more errors were generated by your request: 


Unable to connect to server: -14 - Unexpected response from 
vmware-authd: 511 Error connecting to /usr/sbin/vmware-serverd 
process. 


OK 



VMware Remote Console Error 


VMware Remote Console unrecoverable error: (mks) 

-—Win32 exception detected, exceptionCode OxcOOOOOOS (access violation)— 
eip 0x6954996f eflags 0x00010233 rwFlags OxOOOOOOOl badAddr OxOOaSOOeS 
eax 0x00000002 ebx 0x00000003 ecx OxOOaSOOeS edx OOOOOOOOOO 
esi 0x00a3O0e3 edi Ox00O069de ebp OOOOOOOOOO esp 0x00d9fff4 

Please request support and include the contents of the log file: "C:\Dokumente und Einstellungen\Mehmet\Lokale 
Einstellungen\T emp\vm ware-console-Mehmet- 1 956 . log" . 


OK 






Das sieht nicht gut aus ;-)) 
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vcpu-0 
vcpu-0 
vcpu-0 
vcpu-0 
vcpu-0 
vcpu-0 

vcpu-0 
(vcpu-0) 


Backtrace [6] 0xbf7ffa94 eip 0x8084e7a 
Backtrace [7] 0xbf7ffab4 eip 0x807e848 
Backtrace [8] 0xbf7ffb24 eip 0x80e3d08 
Backtrace [9] 0xbf7ffbf4 eip 0x40047fb7 
Backtrace [10] 00000000 eip 0x4015acba 
Msg_Post : error 

[msg. log. vmxpanic] VMware ESX server unrecoverable 
BUG F (553) : 566 bugNr=431 

Please request support and include the contents of 


Jun 29 11:05:15 
Jun 29 11:05:15 
Jun 29 11:05:15 
Jun 29 11:05:15 
Jun 29 11:05:15 
Jun 29 11:05:15 

Jun 29 11:05:15 
error : 

Jun 29 11:05:15: vcpu-0 

Jun 29 11:05:15: vcpu-0 
the 

log file: " /root /Vmware/ fuz z /Vmware . log" . We will respond on the basis of 
your support entitlement . 

Jun 29 11:05:15 
Jun 29 11:05:26 
Jun 29 11:05:26 
Jun 29 11:05:26 
Jun 29 11:05:26 
Jun 29 11:05:26 
Jun 29 11:05:26 


vcpu-0 | 

vcpu-0 | VTHREAD thread 4 start exiting 
vcpu-0 | VTHREAD counting thread 0 
vcpu-0 | VTHREAD counting thread 1 
vcpu-0 | VTHREAD thread 4 exiting, 2 left 
vmx | VTHREAD watched thread 4 "vcpu-0" died 
vmx | VTHREAD thread 0 start exiting 





Ergebnisse 
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Fuzzing der virtuellen Hardware provoziert Absturz der VM 


■ Absturze u.a durch: 

■ *** VMware ESX Server internal monitor error *** 

■ VMware ESX Server unrecoverable error 

■ Asserts 

■ hauptsachlich benutzt zu debugging Zwecken 

■ sollten im Ausgelieferten Produkt entfernt werden, falls sie nicht implementiert sind 
um das Programm vor “schlimmerem" zu bewahren 


■ Hinweis auf unsaubere Implementierung sowie mogliche 
Buffer Overflows 





Angriffe gegen Management 
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Ergebnisse 2 


- MITM gegen Web MUI moglich 

■ Setzt User-lnteraktion voraus 


ERNW 



Wir leben IT-Security 


■ Virtual Switch 

■ Keine Mechanismen gegen ARP-, MAC-Spoofing Oder MITM 

■ ErwartungsgemaB auch keine Mechanismen gegen Exploiting 


■ Relevante Ports lassen sich blockieren -> erschwerte 
Managebarkeit 

■ Secure by Design Oder DOS? 





Ergebnisse 3 


■ SSH Bruteforcing 
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Hydra v5 . 4 (c) 2006 by van Hauser / THC - use allowed only for legal purposes. 
Hydra (http://www.thc.org) starting at 2008-04-08 12:11:03 

[DATA] 16 tasks, 1 servers, 1754 login tries (1 : 1/p : 1754) , ~109 tries per task 
[DATA] attacking service ssh2 on port 22 

[STATUS] 208.52 tries/min, 212 tries in 00:01h, 1542 todo in 00:08h 

[STATUS] 248.62 tries/min, 750 tries in 00:03h, 1004 todo in 00:05h 

[STATUS] 228.37 tries/min, 1610 tries in 00:07h, 144 todo in 00:01h 

[STATUS] attack finished for 192.168.83.10 (waiting for childs to finish) 

[22] [ssh2] host: 192.168.83.10 login: admin password: letmein 
Hydra (http://www.thc.org) finished at 2008-04-08 12:18:35 
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Lessons Learned (1) 
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■ Sicherheit spielt bei der Entwicklung meist eine 
untergeordnete Rolle 

■ Keine Ansatze gegen alte Probleme wie ARP-Spoofing und 
MITM 

■ Gefahr durch Konfigurationsfehler 

■ Gefahr durch Implementierungsfehler durchaus akut 
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Lessons Learned (2) 
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■ Argus Pitbull 

■ Security BCP sollten immer mit einbezogen werden 

■ Einbindung von Virtualisierung in Unternehmens Policy 

■ Hardening Guides beachten [3] 






Ausblick 
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■ Trend sollte in Richtung Standardisierung von 
Virtualisierungs-Plattformen und Protokollen gehen 

■ Schwenk von Einzel-Maschinen-Virtualisierung in 
Richtung der Service-Orientierten-Virtualisierung 

■ Embedded Virtualisierungs-Plattformen wie VMware ESX 
Server 3i 

■ Zugriff von AuBen auf virtuelle Hardware durch APIs 

1 . Entwicklung von Sicherheitssoftware die diese APIs nutzt 

2. Mogliche neue Kategorie von Angriffsszenarien gegen die VMs 
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Fragen? 

Und Antworten 
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rklose@ernw.de ERNW 

gniehues@ernw.de ^^wi r iebe„. T -secu rity 



Vielen 
Dank ! 








www.troopers08.org 
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Virtualized Systems. 





